アウトソース先から個人情報が漏れた場合、委託会社に責任があるのでしょうか：個人情報保護Q&A

[ITmedia]

　近年、個人情報の漏えい事故が毎週のように報道されるようになりました。この中には、情報処理を委託した業者や、輸送、運搬を委ねた業者から漏えい事故が発生したという事例も多くみられます。2004年7月に国会に提出された個人データの流出事例に関する政府の資料を分析すると、個人データ流出事例のうちおよそ4分の1が委託先から漏えい（故意のもの、過失によるものを含む）していることがわかります。

　情報化社会の発展に伴い情報処理自体が専門化され、また、さまざまな企業形態が編み出されて分業化も進んだ結果、個人情報を取り扱う業務を外部に委託することが多くなっています。個人情報保護法も、このような社会の実態をとらえ、委託先に情報を提供することは、形式的にみれば、本人の同意などが要求される「第三者提供」に該当するのですが、委託の場合については、第三者提供の規制を一切受けないことにしています（法23条4項1号）。だからと言って、一切の規制がないのかというとそうではありません。法律は、個人データの取り扱いの全部または一部を委託した場合は、委託した業者に、委託を受けた者に対する安全管理上の監督を義務づけています（法22条）。

　したがって、万が一アウトソース先から個人情報が漏えいした場合は、監督責任を問われ、委託した会社が責任を負わなければならないことが多いと考えられます。このようなことを考えると、委託した場合に、委託先が個人情報の適正な取り扱いをしているか、適宜チェックを行うことはもちろん、そもそも適正な取り扱いを行う体制の整った業者であることを確認してから発注するという慎重さが求められているといえます。

古本晴英プロフィール

1998年弁護士登録。日弁連情報問題対策委員会委員。社団法人自由人権協会（JCLU）理事・事務局次長。民事、刑事の訴訟実務のかたわら、弁護士会の個人情報保護対策の実施や、国民生活センターの客員講師として個人情報保護法の講座を担当している。主要著書に「Q&A個人情報保護法」（三省堂、共著）、「個人情報管理・運用の実務」（新日本法規、共著）がある。